ב-PyPI כבר מתכוננים לאימות דו-גורמי ובתחילה כבר דווח על תקרית

המפתחים של מאגר החבילות PyPI פיתון הוכרז לאחרונה דרך פוסט מפת דרכים למעבר לאימות חובה דו-גורמי עבור חבילות קריטיות.

החשיבות נקבעת לפי מספר ההורדות והשינוי יחול על חשבונות של מנהלים ובעלי פרויקטים המשויכים ל-1% העליון של החבילות בעוד 6 חודשים לפי הורדות.

שלא כמו המעבר לפרויקטים של אימות דו-גורמי RubyGems, NPM ו-GitHub, PyPI תטמיע תחילה סכימה הכוללת שימוש רצוי באסימון חומרה עם מפתחות גישה.

כסיבה לכך השימוש המומלץ באסימונים ובפרוטוקול WebAuthn, מוזכרת אבטחה גבוהה יותר בהשוואה ליצירת סיסמאות חד פעמיות (היכולת להשתמש ב-TOTP במקום באסימונים תהיה זמינה כאופציה).

ניתן להשיג אסימונים בחינם, ובכן, גוגל מימנה את היוזמה והקצתה 4000 מפתחות טיטאן לפרויקט. כל מתחזק יכול לבקש שני אסימוני USB-C או USB-A ללא תשלום. האסימון השני נשלח כגיבוי למקרה שהאסימון הראשי נשבר או אובד, כדי למזער את הסיכון לאובדן גישה למאגר ולחסוך מהמפתחים את הצורך לעבור הליך שחזור קשה.

למרבה הצער, ניתן לשלוח אסימונים רק אל אוסטריה, בלגיה, קנדה, צרפת, גרמניה, איטליה, יפן, ספרד, שוויץ, בריטניה וארה"ב.

מלווים ממדינות אחרות יכולים לקנות באופן עצמאי אסימונים תואמי FIDO U2F כגון אסימוני Yubikey ו-Thetis. כחלופה, אפשר גם להשתמש ביישומי אימות מבוססי סיסמה חד-פעמיים התומכים בפרוטוקול TOTP, כמו Authy, Google Authenticator ו-FreeOTP, במקום אסימון.

היוזמה לא הייתה חפה מאירועים., אם כך מחבר החבילה Atomicwrites, שיש לו 6 מיליון הורדות בחודש ו-38 מיליון ב-6 חודשים, לא רצה לעבור לאימות דו גורמי וניסיתי לאפס את מונה ההורדות כדי לא לכלול את החבילה שלך מהרשימה הקריטית.

לאתחל, הסר תחילה את החבילה ולאחר מכן הורד את הגרסה החדשה, עד לנקודה זו הוא ציפיתי שמניפולציה כזו רק תאפס את המונה, אך להפתעת המפתח, גם כל הגרסאות הישנות הוסרו מהמאגר, מה שהוביל לבעיות עבור פרויקטים תלויי ספרייה, שחלק מהמפתחים השוו לאירוע שנבע מהסרת החבילה מהפאנל השמאלי ב-NPM.

הבעיה החמירה על ידי העובדה שלאחר ההסרה, המחבר של atomicwrites לא הצליח להוריד את הגרסאות הישנות, אשר לא שוחזרו עד למחרת לאחר התערבות מנהלי PyPI.

לאחר המקרה, מחבר החבילה החליט להפסיק לפתח atomicwrites ולבטל את החבילה. הסיבה שניתנה היא שהוא מפתח את הפרויקט כתחביב בזמנו הפנוי והדרישות הנוספות שמקשות על העבודה אינן מפצות על הזמן המושקע בתחזוקה חופשית של חבילה כה פופולרית.

המחבר של atomicwrites טוען שהוא מעדיף פשוט לכתוב קוד בשביל הכיף, ושניתן לדאוג להגנה נוספת מפני חטיפה על ידי תוקפים כאשר אתה משלם עבורה.

ספריית atomicwrites מכילה כ-200 שורות קוד ומספקת פונקציות לכתיבת קבצים בצורה אטומית. כתחליף, ניתן להשתמש בקריאות הרגילות os.replace ו-os.rename (הפעולה מסתכמת בכתיבה לקובץ עם שם זמני ושינוי שם קובץ היעד כשמוכן).

עם למעלה מ-350 חבילות שנמצאות כעת במאגר PyPI, אימות דו-גורמי יוחל על כ-000 חבילות. הוכן דף מיוחד כדי לבדוק אם חשבון כלול ברשימה. התאריך המדויק להכללת אימות דו-גורמי חובה טרם נקבע, זה צפוי לקרות בחודשים הקרובים.

בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים ב הקישור הבא.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.